0

对于我在两年前实施 eduroam 的学校,我们不时在 AD 中添加新学生。五天前,我又增加了 40 名新学生,但我更改了 CN(或在 New-ADUser 中称为“-Name”)的格式:

从“name.surname”到“SURNAME, NAME”(引号除外),因此

早些时候是

CN=name.surname, OU=CLASS_A, OU=STUDENTS, DC...

现在它是

CN=姓氏,姓名,OU=CLASS_A,OU=学生,DC...

eduroam 的用户名通常是<string with no blanks>@<yourschool>.<tld>以便 RADIUS 代理可以根据@<yourschool>.<tld>路由身份验证请求,所以我必须保持这种格式。

现在,新用户无法再通过 NPS 进行身份验证。

我跑回我的论文的所有测试(即 NPS 使用 CN 进行身份验证),但我找不到任何说明这一点的 Microsoft 文档。

  1. 有人可以分享此类文档的链接吗?
  2. 是否可以将支票从 CN(如果通过第 1 点的答案证明)更改为另一个用户的记录,如 sAMAccountNAme 或 UPN?

我确定我触及了 AD 中的一些内容,但我希望有人已经解决了这个问题并找到了答案。

TIA

PS 我想替代方案是使用 FreeRADIUS,但我宁愿探索仍然在 NPS/AD 中进行的选项

4

1 回答 1

0

• 请查看 Windows Server 事件安全日志以获取有关 NPS 身份验证问题的更多详细信息,因为这可能会更清楚地说明您可能面临的实际问题。至此,请清除服务器上的缓存和临时文件,重启整个NPS相关的基础设施,即域控制器、NPS服务器、接入点和其他用户可以通过NPS登录的相关设备。

• 重新启动后,请再次尝试通过 NPS 验证任何允许的用户并检查。此外,由于您使用 NPS 作为半径服务器代理,请检查消息转发的属性操作规则,因为 CN 在您的 AD 中的顺序/格式发生了更改。具体地,关于由访问客户端提供并由NAS包含在Radius访问请求消息中的用户名。此属性的值是通常包含领域名称和用户帐户名称的字符串。

• 要正确替换或转换连接请求的用户名中的领域名称,您必须在相应的连接请求策略上为 User-Name 属性配置属性操作规则。

此外,请找到以下链接,了解您是否可以在 NPS 的情况下使用哪个属性进行身份验证。在其中,它明确指出,作为最佳实践,应将用户主体名称用作属性:-

https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-best-practices#performance-tuning-nps

https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-best-practices#using-nps-in-large-organizations

请检查以下文档链接以了解您的情况:-

https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-plan-proxy#key-steps-3

于 2021-11-09T07:02:02.320 回答